Sicherheitslücke im Dropbox-Client für Android
Eine Lücke im Android-Client für den Online-Speicherdienst Dropbox ermöglicht es anderen Apps, beliebige Dateien in das Konto des Anwenders hochzuladen und so die Kontrolle über das Konto zu übernehmen.
- Hajo Schulz
Das Unternehmen MWR InfoSecurity hat auf eine Sicherheitslücke im Android-Client für den Online-Speicherdienst Dropbox hingewiesen. Eine nachlässige Einstellung in dem zu der Applikation gehörenden Manifest ermögliche es beliebigen anderen Apps auf demselben Gerät, Dateien in das Benutzerkonto des Dropbox-Anwenders hochzuladen, ohne dass der dafür um Erlaubnis gefragt wird. Auf diese Weise könne laut MWR auch die Datenbank mit den Dropbox-Benutzereinstellungen überschrieben werden und ein Angreifer die komplette Kontrolle über das Dropbox-Konto des Benutzers erlangen.
Betroffen sind laut dem Advisory alle Clients bis einschließlich Version 1.1.3. Dropbox hat den Fehler in Version 1.1.4 seines Android-Clients behoben; das Update ist über den Market verfügbar. (hos)